Segurança de TI para empresas de saúde

Se os EMRs (registros médicos eletrônicos) beneficiam os pacientes e os médicos, o controle da confidencialidade e da segurança dos dados médicos torna-se essencial.

O objetivo é melhorar a segurança da informação e a resiliência do hospital para evitar a interrupção de componentes “inteligentes” que poderiam ter um impacto maior na segurança do paciente.

O uso crescente da Internet e de aplicativos da Web está abrindo novas possibilidades para os invasores.

Esses aplicativos tornam a comunicação entre pacientes e médicos mais flexível e, assim, melhoram os serviços aos pacientes. No entanto, como o número de ataques continua a crescer, os provedores de saúde precisam proteger mais dispositivos médicos conectados.

Segurança de TI para empresas de saúde

A maioria dos ataques cibernéticos tem como alvo aplicativos da web e os criminosos cibernéticos continuam a explorar esse canal incessantemente. Na verdade, os aplicativos são fáceis de hackear.

A web, especialmente o protocolo HTTP (mesmo o HTTPS um pouco mais seguro), não foi projetada para os aplicativos complexos de hoje. Portanto,

Os bancos de dados são os alvos mais direcionados, pois contêm grandes quantidades de dados pessoais em uma forma concentrada.

Portanto, quando se trata de armazenamento em serviços em nuvem, os usuários e administradores não são os únicos que podem acessar os dados.

Os provedores de serviços em nuvem também podem ter acesso a ele, se esses dados forem armazenados desprotegidos e sem criptografia.

Se os cibercriminosos obtiverem acesso a esses dados, os pacientes e hospitais podem ser chantageados diretamente por eles.

Sem falar na implicação da Lei CLOUD ou Cloud Act, que, desde março de 2018, pode obrigar qualquer fornecedor sujeito à legislação americana a dar acesso aos dados no âmbito de uma investigação, a pedido de uma autoridade judiciária dos Estados Unidos.

Os 6 níveis de atividades para que um anfitrião seja oficialmente certificado:

– A disponibilização e manutenção em estado operacional dos sites físicos que permitam acolher a infraestrutura de hardware do sistema de informação utilizado para o tratamento dos dados de saúde;

– A disponibilização e manutenção em estado operacional da infraestrutura material do sistema de informação utilizado para o tratamento dos dados de saúde;

– A disponibilização e manutenção em estado operacional da plataforma de alojamento de aplicações de sistemas de informação;

– A disponibilização e manutenção em estado operacional da infraestrutura virtual do sistema de informação utilizado para o processamento de dados de saúde;

– Administração e operação do sistema de informação contendo dados de saúde;

– Backup de dados de saúde.

Saúde e TI

Esta homologação permite ao ecossistema médico garantir uma alternativa tecnológica e económica baseada em infraestruturas reconhecidas pelo seu elevado nível de segurança.

Além disso, garante uma certa interoperabilidade para permitir trocas entre diferentes estabelecimentos do ecossistema de saúde.

A única preocupação persistente: soberania. Infelizmente, ainda não é uma prioridade na escolha dos estabelecimentos a fazer uma seleção. O host, o Cloud Act ou o Patriot Act têm apenas um impacto mínimo nas escolhas dos RSSIs.

A soberania deve ser um dos elementos-chave para obter a certificação HDS em solo europeu e, assim, ter a garantia total da confidencialidade e integridade dos dados de saúde.

Os prestadores de cuidados de saúde (incluindo hospitais e clínicas privadas) foram identificados como ‘operadores de serviços essenciais’ (ou OSEs) ao abrigo da Diretiva NIS, que exige que cumpram um conjunto de obrigações de segurança de rede e sistema de informação e relatórios de incidentes.